本文說明部署Defender for IoT進行OT監控所需的高階步驟。 請參考以下章節,了解每個部署步驟,並附上相關交叉參考以獲取更多細節。
下圖顯示了端對端OT監控部署路徑中的各階段,以及負責各階段的團隊。
雖然不同組織的團隊與職稱有所不同,但所有 Defender for IoT 的部署都需要負責網路與基礎設施不同區域的人員之間的溝通。
提示
每個步驟所需時間都不同。 例如,下載一個 OT 感測器啟用檔案可能需要五分鐘,而配置流量監控則可能需要數天甚至數週,視組織流程而定。
我們建議您先開始每個步驟的流程,不要等完成再進入下一步。 務必持續追蹤仍在進行中的步驟,確保完成。
必要條件
在開始規劃 OT 監控部署前,請確認你已擁有 Azure 訂閱及已內建 Defender for IoT 的 OT 計畫。
欲了解更多資訊,請參閱「啟動 適用於 IoT 的 Microsoft Defender 試用」。
規劃與準備
下圖顯示規劃與準備階段的步驟。 規劃與準備步驟由您的架構團隊負責。
規劃你的職能治療監控系統
規劃監控系統的基本細節,例如:
站點與區域:決定如何利用能代表全球各地地點的 站點 與 區域 來分割你想監控的網路。
感測器管理:決定你將使用雲端連接、隔層、本地管理的 OT 感測器,或兩者的混合系統。 如果你使用雲端連接感測器,請選擇一種連線方式,例如直接連線或透過代理連線。
使用者與角色:列出每個感測器所需的使用者類型,以及每個活動所需的角色。
欲了解更多資訊,請參閱 「使用 Defender for IoT 規劃您的職能治療監控系統」。
準備OT站點部署
為您的系統中每個計畫中的地點定義額外細節,包括:
一張網絡圖。 識別所有你想監控的裝置,並建立一個明確定義的子網清單。 部署感測器後,請使用此清單確認所有你想監控的子網都被 Defender for IoT 覆蓋。
感測器清單:利用你想監控的流量、子網路和裝置清單,建立你需要的 OT 感測器清單,並決定它們在網路中的部署位置。
流量鏡像方法:為每個 OT 感測器選擇一種流量鏡像方式,例如 SPAN 埠或 TAP。
設備:準備一個部署工作站,以及你將用於每個 OT 感測器的硬體或虛擬機器設備。 如果你使用的是預先設定好的家電,務必訂購。
欲了解更多資訊,請參閱 「準備OT站點部署」。
從機載感測器轉 Azure
下圖顯示了機載感測器階段中包含的步驟。 感測器是由你的部署團隊導入 Azure。
Onboard OT sensors on the Azure 入口網站
盡可能多地為 Defender for IoT 安裝 OT 感測器,與你計畫的一致。 務必下載每個 OT 感測器提供的啟用檔案,並將它們儲存在你的感測器機器可存取的位置。
欲了解更多資訊,請參閱 Defender for IoT的Onboard OT感測器。
站點網路設定
下圖展示了網站網路設定詞中包含的步驟。 站點網路的步驟由你的連接團隊負責。
在你的網路中設定流量鏡像
利用你 先前 建立的計畫,在網路中部署 OT 感測器並將流量鏡像到 Defender for IoT 的地點配置流量鏡像。
關於選擇最佳 OT 感測器位置並將其部署到網路所需的簡要資訊,請參閱 流量鏡像設定概覽。
如需詳細資訊,請參閱:
- 設定使用交換器 SPAN 埠來進行鏡像
- 使用遠端 SPAN 配置流量鏡像 (RSPAN) 埠
- 可設定主動或被動聚合 (TAP)
- 更新感測器的監控介面 (配置 ERSPAN)
- 使用 ESXi vSwitch 配置流量鏡像
- 使用 Hyper-V vSwitch 配置流量鏡像
雲端管理的配置
設定防火牆規則,確保你的 OT 感測器設備能在 Azure 雲端存取 Defender for IoT。 如果你打算用代理連線,安裝感測器後才會設定這些設定。
對於任何計劃在感測控制台本地進行空氣隔閡和管理的 OT 感測器,可以跳過這個步驟。
欲了解更多資訊,請參閱 「雲端管理配置 OT 感測器」。
部署你的OT感測器
下圖顯示感測器部署階段的步驟。 OT 感測器由您的部署團隊部署並啟動。
安裝你的OT感測器
如果你要在自己的設備上安裝 Defender for IoT 軟體,請從 Azure 入口網站下載安裝軟體,然後安裝到你的 OT 感測器設備上。
安裝 OT 感測器軟體後,執行多項檢查以驗證安裝與設定。
如需詳細資訊,請參閱:
如果你購買 的是預先設定好的家電,請跳過這些步驟。
啟動你的 OT 感測器並初始設定
使用初始設定精靈確認網路設定,啟用感測器,並套用 SSH/TLS 憑證。
欲了解更多資訊,請參閱 「配置與啟用您的 OT 感測器」。
設定代理連線
如果你決定用代理伺服器連接感測器到雲端,請設定代理並設定感測器的設定。 更多資訊請參閱「 在 OT 感測器上配置代理設定」。
以下情況下可跳過此步驟:
- 對於任何直接連接到 Azure、沒有代理伺服器的 OT 感測器
- 對於任何計畫在感測控制台上進行空氣隔閡並本地管理的感測器。
設定可選設定
我們建議您設定 Active Directory 連線,以管理 OT 感測器上的本地使用者,並透過 SNMP 設定感測器健康監控。
如果你在部署時沒有設定這些設定,也可以之後再回去設定。
如需詳細資訊,請參閱:
校準並微調OT監測
下圖展示了用新部署感測器校正與微調OT監測的步驟。 校準與微調活動由部署團隊負責。
控制感測器上的OT監測
預設情況下,你的 OT 感測器可能無法偵測到你想監控的具體網路,或無法精確以你希望的方式辨識它們。 利用你之前建立的清單來驗證並手動設定子網,自訂埠號和 VLAN 名稱,並依需求設定 DHCP 位址範圍。
欲了解更多資訊,請參閱「控制由 適用於 IoT 的 Microsoft Defender 監控的 OT 流量」。
驗證並更新您偵測到的裝置庫存
當您的裝置完全被偵測到後,請檢視裝置清單並視需要修改裝置細節。 例如,你可以指定裝置類型或其他屬性需要修改,還有更多。
欲了解更多資訊,請參閱 「驗證並更新您偵測到的裝置庫存」。
學習OT警報以建立網路基線
你的 OT 感測器觸發的警示可能包含多個警示,你必須經常忽略或 學習,視為授權流量。
先檢視系統中所有警示作為初步篩選。 此步驟為未來的 Defender for IoT 建立網路流量基線。
欲了解更多資訊,請參閱 建立學習過的職能治療警示基線。
基線學習結束
只要偵測到新流量且警報未處理,你的OT感測器就會保持 學習模式 。
當基線學習結束時,OT監控部署流程完成,您將繼續以運作模式進行持續監控。 在運作模式下,任何與基準資料不符的活動都會觸發警報。
提示
當 Defender for IoT 中目前的警報準確反映你的網路流量時,請手動關閉學習模式。
將 Defender for IoT 資料連接到你的 SIEM
一旦 Defender for IoT 部署完成,請發送安全警示,並透過整合 Defender for IoT 與您的安全資訊及事件管理, (SIEM) 平台及現有 SOC 工作流程與工具來管理 OT/IoT 事件。 透過整合 Microsoft Sentinel 並利用現成的 適用於 IoT 的 Microsoft Defender 解決方案,或建立轉發規則至其他 SIEM 系統,將 Defender for IoT 警示整合至您的組織 SIEM。 Defender for IoT 開箱即用整合 Microsoft Sentinel 以及多種 SIEM 系統,如 Splunk、IBM QRadar、LogRhythm、Fortinet 等。
關於選擇最佳 OT 感測器位置並將其部署到網路所需的簡要資訊,請參閱 流量鏡像設定概覽。
如需詳細資訊,請參閱:
- 企業 SOC 中的 OT 威脅監控
- 教學:Connect 適用於 IoT 的 Microsoft Defender with Microsoft Sentinel
- 將本地 OT 網路感測器連接到 Microsoft Sentinel
- 與 Microsoft 及合作夥伴服務的整合
- Stream Defender for IoT cloud alerts to a partner SIEM
在將 Defender for IoT 警示整合至 SIEM 後,我們建議採取以下步驟,將 OT/IoT 警示運作化,並完全整合至您現有的 SOC 工作流程與工具:
根據您的特定OT需求與環境,識別並定義您想監控的相關物聯網/OT安全威脅與SOC事件。
在 SIEM 中建立偵測規則與嚴重程度等級。 只會觸發相關的事件,從而減少不必要的噪音。 例如,未經授權的裝置或非工作時間進行的 PLC 代碼變更,會因該警示的高精度而被視為高嚴重事件。
在 Microsoft Sentinel 中,適用於 IoT 的 Microsoft Defender 解決方案包含一套開箱即用的偵測規則,專為 Defender for IoT 資料打造,幫助你微調 Sentinel 中產生的事件。
定義適當的緩解工作流程,並為每個使用案例建立自動化調查手本。 在 Microsoft Sentinel 中,適用於 IoT 的 Microsoft Defender 解決方案包含開箱即用的自動回應 Defender for IoT 警報的手冊。
後續步驟
現在你已經了解OT監控系統的部署步驟,現在就可以開始了!